У меня есть специально разработанное приложение (автономное), установленное на сервере Windows 2012 R2, и диск сопоставлен с рабочей станцией Windows 10 конечного пользователя. Пользователь открывает подключенный диск и дважды щелкает приложение, чтобы запустить его.
Теперь мой вопрос: есть ли способ узнать, кто (идентификатор пользователя) запускает приложение и когда? Это может быть в журнале событий или может быть где-то еще, но я ищу эту информацию, чтобы удовлетворить моего аудитора.
Кроме того, если не записано прямо сейчас, есть ли способ (через какой-либо пакетный файл и т. Д.) Получить эту информацию?
Подобно spacenomyous (поиск правильного EventID), вы можете настроить сбор журналов EventLog ID (то есть на основе EventID, упомянутого ими) и пересылать их на ваш сервер-сборщик или какой-то пакет мониторинга.
Нет, если заранее не был настроен надлежащий аудит.
For the system:
Advanced Audit Policy, Object Access, Audit File System (Success and Failure)
For the directory:
Advanced Security Settings, Auditing, Everyone, All, Read & Execute
После настройки вы увидите событие с кодом 4663. An attempt was made to access an object в журнале безопасности:
An attempt was made to access an object.
Subject:
Security ID: DOMAIN\SamAccountName
Object:
Object Name: <FILEPATH>
Access Request Information:
Accesses: Execute/Traverse